Ace qui di nuovo. Ho pensato di ripulire e ripubblicare il mio blog sui requisiti delle porte AD. Sì, sono estesi, per lo sgomento del gruppo di rete nella vostra organizzazione. Ma è quello che è, ed è quello che dobbiamo seguire per far funzionare AD.
Server RPC non disponibile? Errori di replica nel visualizzatore di eventi? Vi suona familiare?
Se è così, siete stati soccombenti al fatto e alla realizzazione che ci sono forse porte necessarie bloccate che causano questi familiari errori di comunicazione AD. Sia tra luoghi con firewall / tunnel VPN blocchi delle porte, Windows Firewall (che di solito non è il colpevole perché si auto-configurano per il ruolo della macchina e la sua posizione di rete corrente), o anche software di sicurezza o applicazioni antivirus con una sorta di “protezione del traffico di rete” funzione abilitata che sta causando il problema.
In parole povere, se ci sono problemi di replica o altri problemi di comunicazione AD, e avete un software antivirus installato sugli endpoint o installato su tutti i vostri DC, disabilitatelo, o meglio ancora, disinstallatelo. Disinstallarlo è la cosa migliore, così sai che non ci sono tracce di altri sottocomponenti attivi che possono ancora causare il blocco. Se dopo averlo disinstallato, e trovate che la replica ora funziona, beh, ecco fatto. A quel punto, dovrai contattare il tuo fornitore di antivirus per chiedere loro il modo migliore per configurarlo per permettere le comunicazioni AD e la replica.
Se non è il tuo antivirus o l’applicazione di sicurezza, e disabilitare il firewall di Windows non fa il trucco, allora è ovvio che è un fattore esterno – i tuoi firewall di bordo/perimetro.
Anche per sottolineare, quando si verifica il blocco delle porte, strumenti come telnet non è un buon strumento per testare la connettività AD/DC to DC, né lo è alcun tipo di scansione standard delle porte, come l’uso di nmap, o un semplice ping, risolvendo con nslookup (anche se la risoluzione dei record richiesti è un pre-requisito), o altri strumenti. L’unico test affidabile è l’utilizzo di PortQry di Microsoft, che testa le porte AD specifiche e le porte effimere, e le risposte richieste dai servizi sulle porte AD richieste che analizza in modo specifico.
AD attraverso un NAT? No. Punto.
Oh, e non aspettatevi di farlo funzionare attraverso un NAT. I NAT non possono tradurre il traffico RPC crittografato, quindi le comunicazioni LDAP non funzionano.
Descrizione dei limiti di supporto per Active Directory su NAT
http://support.microsoft.com/kb/978772
Come configurare l’allocazione dinamica delle porte RPC per funzionare con i firewall”
Le comunicazioni AD non funzioneranno attraverso una traduzione delle porte NAT, come non è possibile utilizzare DCOM attraverso un firewall NAT che esegue la traduzione degli indirizzi (es.Ad esempio quando un client si connette all’indirizzo virtuale 198.252.145.1, che il firewall mappa in modo trasparente all’indirizzo IP interno effettivo del server, ad esempio 192.100.81.101). Questo perché DCOM memorizza gli indirizzi IP grezzi nei pacchetti di marshaling dell’interfaccia e se il client non può connettersi all’indirizzo specificato nel pacchetto, non funzionerà.”
Citato da: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (questo vale per tutti i DC)
Citato: “Windows 2000 NAT non supporta Netlogon e traduce Kerberos. Se hai dei client che si trovano dietro un server NAT basato su Windows 2000 e hai bisogno di accedere alle risorse del dominio, considera la creazione di un tunnel VPN (virtual private network) di Routing e Remote Access per il traffico Netlogon, o aggiorna i client a Windows 2000.”
Citato da: http://support.microsoft.com/kb/263293
*
Ok, scopriamo se le porte sono state bloccate
Ora stai pensando che i tuoi ingegneri dell’infrastruttura di rete sanno cosa stanno facendo e hanno aperto le porte necessarie, quindi stai pensando, non può essere questa la ragione? o lo è? Bene, scopriamolo. Possiamo usare PortQry per testarlo. E no, non vuoi usare ping, nslookup, nmap o qualsiasi altro port scanner, perché non sono progettati per interrogare le porte AD necessarie per vedere se stanno rispondendo o meno.
Quindi eseguiamo PortQry:
Primo, scaricalo:
PortQryUI – GUI – Versione 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
Poi esegui l’opzione “Domains & Trusts” tra DCs, o tra DCs e qualsiasi macchina (altri server che vuoi promuovere, o anche da una macchina client), o dalle teste di ponte in ogni sito all’altra testa di ponte nell’altro sito, praticamente ovunque si voglia testare se ci sono porte AD bloccate.
Il punto è che vorrete eseguirlo in qualsiasi scenario in cui un DC deve comunicare con un altro DC o con un client.
Se ottenete qualsiasi errore con “NOTLISTENING,” 0x00000001, e 0x00000002, significa che c’è un blocco delle porte. Prendi nota di quali porte sono.
Puoi ignorare i messaggi UDP 389 e UDP 88. Se vedi errori TCP 42, significa solo che WINS non è in esecuzione sul server di destinazione.
RiferimentiPortQry
Knock Knock Is That Port Open?
di Mark Morowczynski 18 Apr 2011, tutorial veloce sulla versione GUI di PortQry.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
“A volte puoi vedere errori come Il server RPC non è disponibile o Non ci sono più endpoint disponibili dall’endpoint mapper …”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Come usare Portqry per risolvere i problemi di connettività di Active Directory
http://support.microsoft.com/kb/816103
Se vuoi usare la versione solo linea di comando:
Dettagli per il download: PortQry Command Line Only Port Scanner Version 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Comprendere portqry e l’output del comando: Nuove caratteristiche e funzionalità in PortQry versione 2.0
http://support.microsoft.com/kb/832919
Descrizione dell’utilità a riga di comando Portqry.exe
http://support.microsoft.com/kb/310099
Riserva Portqry
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
Le comunicazioni da DC a DC e da DC a client richiedono numerose porte
Non ci sono segreti. Questa è la cosa più semplice che posso dire.
E, l’elenco delle porte richieste è lungo, per lo sgomento dei team di ingegneria dell’infrastruttura di rete che devono richiedere le porte per permettere ad AD di comunicare, replicare, ecc, queste porte devono essere aperte. Non c’è davvero molto che si possa fare altrimenti.
Ecco la lista con una spiegazione di ogni porta:
|
Protocollo e porta
|
Uso AD e AD DS | Tipo di traffico |
| TCP 25 | Replicazione | SMTP |
| TCP 42 | Se si usa WINS in uno scenario di fiducia del dominio che offre risoluzione NetBIOS | WINS |
| TCP 135 | Replica | RPC, EPM |
| TCP 137 | Risoluzione nomi NetBIOS | Risoluzione nomi NetBIOS |
| TCP 139 | Autenticazione utente e computer, Replicazione | DFSN, servizio di sessione NetBIOS, NetLogon |
| TCP e UDP 389 | Directory, replica, autenticazione utente e computer, criteri di gruppo, trust | LDAP |
| TCP 636 | Directory, replica, autenticazione utente e computer, Politica di gruppo, Trusts | LDAP SSL |
| TCP 3268 | Directory, replica, autenticazione di utenti e computer, Politica di gruppo, Trusts | LDAP GC |
| TCP 3269 | Directory, replica, autenticazione di utenti e computer, Politica di gruppo, Trusts | LDAP GC SSL |
| TCP e UDP 88 | Autenticazione utenti e computer, Trust a livello di foresta | Kerberos |
| TCP e UDP 53 | Autenticazione di utenti e computer, risoluzione dei nomi, trust | DNS |
| TCP e UDP 445 | Replica, Autenticazione di utenti e computer, criteri di gruppo, trust | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS Web Services | SOAP |
| TCP 5722 | File Replication | RPC, DFSR (SYSVOL) |
| TCP e UDP 464 | Replicazione, autenticazione utente e computer, Trusts | Kerberos modifica/imposta password |
| UDP 123 | Windows Time, Trusts | Windows Time |
| UDP 137 | Autenticazione utente e computer | NetLogon, risoluzione nome NetBIOS |
| UDP 138 | DFS, Group Policy, NetBIOS Netlogon, Browsing | DFSN, NetLogon, NetBIOS Datagram Service |
| UDP 67 e UDP 2535 | DHCP (Nota: DHCP non è un servizio AD DS di base, ma queste porte possono essere necessarie per altre funzioni oltre a DHCP, come WDS) | DHCP, MADCAP, PXE |
E non dobbiamo mai dimenticare le porte effimere!
E soprattutto, le porte effimere, o anche conosciute come “porte di risposta al servizio”, che sono necessarie per le comunicazioni. Queste porte sono create dinamicamente per le risposte di sessione per ogni client che stabilisce una sessione, (non importa quale sia il ‘client’), e non solo per Windows, ma anche per Linux e Unix.
Vedi sotto nella sezione riferimenti per saperne di più su cosa significa ‘effimero’. sono usati solo per quella sessione. Una volta che la sessione si è dissolta, le porte vengono rimesse nel pool per essere riutilizzate. Questo vale non solo per Windows, ma anche per Linux, Unix e altri sistemi operativi. Vedi sotto nella sezione riferimenti per saperne di più su cosa significa ‘effimero’.
La seguente tabella mostra quali sono le porte effimere a seconda della versione del sistema operativo, e per cosa vengono utilizzate.
| Window 2003, Windows XP, e Windows 2000 |
TCP & UDP |
1024-5000 | Porte di risposta del servizio dinamico effimero |
| Windows 2008/Vista e più recenti | TCP & UDP 49152-65535 | Porte di risposta del servizio dinamico effimero | |
| TCP dinamico effimero | Replica, Autenticazione di utenti e computer, criteri di gruppo, trust | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP Dynamic Ephemeral | criteri di gruppo | DCOM, RPC, EPM |
Se lo scenario è uno scenario Mixed-Mode NT4 & Active Directory con NT4 BDC, allora deve essere aperto quanto segue:
| TCP & UDP 1024 – 65535 | BDC NT4 a Windows 2000 o più recente Comunicazioni PDC-E controller di dominio | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
Vedi, non era così semplice?
L’elenco breve senza spiegazioni delle porte:
| Protocollo | Porta |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP e UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP e UDP | 88 |
| TCP e UDP | 53 |
| TCP e UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP e UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Se lo scenario è uno scenario Mixed-Mode NT4 & Active Directory con NT4 BDC:
Le seguenti porte effimere devono essere aperte (sì, è praticamente l’intera gamma):
| TCP & UDP | 1024-65535 |
Restrizione delle porte attraverso un firewall
Hai anche la possibilità di limitare il traffico di replica DC to DC, e le comunicazioni DC to client, a porte specifiche. Tieni presente che dipende anche da quali porte e servizi vuoi limitare. Quando si sceglie questa opzione, è necessario specificare le porte corrette per il servizio corretto.
Dipende da quali porte e servizi si desidera limitare?
Metodo 1
Si usa per impostare la porta di replica AD specifica. Per default usa la porta dinamica per replicare i dati dal DC in un sito all’altro.
Questo è applicabile per limitare la replica AD a un intervallo di porte specifico.
Procedura: Modificare il registro per selezionare una porta statica.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Restrizione del traffico di replica Active Directory e il traffico RPC del client ad una porta specifica
http://support.microsoft.com/kb/224196
Metodo 2
Questo è per configurare l’intervallo delle porte nel Firewall di Windows.
Netsh – usa i seguenti esempi per impostare un intervallo di porte iniziale, e il numero di porte dopo di esso da usare
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
L’intervallo di porte dinamiche predefinito per TCP/IP è cambiato in Windows Vista e in Windows Server 2008
http://support.microsoft.com/kb/929851
Modificare il registro
Questo è per le comunicazioni dei servizi Windows. Influenza anche le comunicazioni AD.
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Come configurare l’allocazione dinamica delle porte RPC per funzionare con i firewall
http://support.microsoft.com/kb/154596/en-us
Qui ci sono alcuni link correlati per limitare le porte di replica AD.
Filo di riferimento:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
Requisiti delle porte del firewall AD
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Replicazione di Active Directory su Firewall
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – I “Controllori di Dominio in sola lettura” hanno i loro requisiti di porta
|
Traffico
|
Tipo di traffico |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Statico 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP e UDP Dinamico 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Porte effimere |
| TCP e UDP dinamico 49152 – 65535 | Windows 2008, Windows Vista e tutti i sistemi operativi più recenti Porte effimere |
Progettazione di RODC nella rete perimetrale
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Restrizione del traffico di replica di Active Directory e del traffico RPC del client a una porta specifica
http://support.microsoft.com/kb/224196
È necessaria una buona discussione su RODC e porte del firewall:
http://forums.techarena.in/active-directory/1303925.htm
Più informazioni su come funziona l’autenticazione RODC aiuteranno a capire le porte:
Comprensione dell’autenticazione “Read Only Domain Controller”
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Come configurare un firewall per domini e trust
http://support.microsoft.com/kb/179442
Active Directory e Active Directory Domain Services Port Requirements, Updated: 18 giugno 2009 (include nuove porte effimere aggiornate per Windows Vista/2008 e più recenti). Questo discute anche i requisiti delle porte RODC. Devi anche assicurarti che le porte effimere siano aperte. Sono:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008, 2008 R2, Vista e Windows 7 Ephemeral Port range è cambiato dalle porte usate da Windows 2003 Windows XP e Windows 2000. Le effimere predefinite (porte di risposta dinamica del servizio casuale) sono UDP 1024 – 65535 (vedi KB179442 sotto), ma per Vista e Windows 2008 è diverso. La loro gamma di porte iniziali predefinite è UDP 49152 – UDP 65535 (vedi KB929851 sotto).
Citato da KB929851 (link postato sotto): “Per conformarsi alle raccomandazioni della Internet Assigned Numbers Authority (IANA), Microsoft ha aumentato la gamma di porte client dinamiche per le connessioni in uscita in Windows Vista e in Windows Server 2008. La nuova porta iniziale predefinita è 49152, e la porta finale predefinita è 65535. Questo è un cambiamento rispetto alla configurazione delle versioni precedenti di Microsoft Windows che utilizzavano un intervallo di porte predefinito da 1025 a 5000.”
Windows Vista, Windows 7, Windows 2008 e Windows 2008 R2 Service Response Ports (porte effimere) sono cambiate.
http://support.microsoft.com/?kbid=929851
Active Directory and Firewall Ports – Ho trovato difficile trovare un elenco definitivo su internet per le porte da aprire per Active Directory per la replica tra i firewall. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directory Replication over Firewalls, 31 gennaio 2006. (include vecchie porte effimere pre-Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
Come funzionano domini e foreste
Mostra anche un elenco di porte necessarie.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Blog di Paul Bergson sulla replica AD e le porte del firewall
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Porte di accesso Exchange DS
Configurazione di un firewall Intranet per Exchange 2003, 14 aprile 2006.
Porte di protocollo richieste per il firewall della intranet e porte richieste per le comunicazioni Active Directory e Kerberos
http://technet.microsoft.com/en-us/library/bb125069.aspx
Letture aggiuntive
Restrizione del traffico di replica di Active Directory e del traffico RPC del client …Restrizione del traffico di replica di Active Directory e del traffico RPC del client a una porta unica, e riavvio del servizio Netlogon sul controller di dominio. …
http://support.microsoft.com/kb/224196
Come limitare il traffico di replica FRS a una specifica porta statica – Come limitare il traffico di replica FRS a una specifica porta statica …I controller di dominio e i server basati su Windows 2000 utilizzano FRS per replicare i criteri di sistema …
http://support.microsoft.com/kb/319553
Alcuni firewall potrebbero rifiutare il traffico di rete proveniente da computer basati su Windows Server 2003 Service Pack 1 o Windows Vista
Questa KB indica che i firewall Checkpoint hanno un problema con le comunicazioni AD.
http://support.microsoft.com/?kbid=899148
Checkpoint Firewall e AD, DNS e comunicazioni RPC e traffico di replica
I firewall Checkpoint hanno un problema noto se si esegue la versione R55 o precedente. Dovrete fare una voce di registro per permettere al traffico di fluire tra i 2 siti attraverso la vpn. La soluzione preferita è quella di aggiornare il firewall Checkpoint.
Più informazioni:
Alcuni firewall possono rifiutare il traffico di rete che proviene da computer basati su Windows Server 2003 Service Pack 1 o Windows Vista
(Questo link si riferisce e aiuta a risolvere il problema Checkpoint)
http://support.microsoft.com/?kbid=899148
Note da un poster su internet con un firewall Checkpoint:
Per Windows 2003 R2 e il controller di dominio remoto non R2 abbiamo aggiunto la voce Server2003NegotiateDisable in
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
So che ti è piaciuto leggere questo.
Beh, che tu l’abbia fatto o no, almeno ora sai cosa fare per farlo funzionare.
Commenti, suggerimenti e correzioni sono benvenuti!
==================================================================
Sommario
Spero che questo aiuti!
Data di pubblicazione originale: 11/1/2011
Aggiornato 11/4/2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Elenco completo dei blog tecnici: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Questo messaggio è fornito così com’è senza garanzie e non conferisce alcun diritto.